Virus PornoHUB - Форум технической поддержки ESET NOD32

Сообщений: 3

Баллов: 1

Регистрация: 19.05.2016

Размещено 19.05.2016 16:18:55

Здравствуйте!
У меня появилась следующая проблема, стал периодически отваливаться шлюз по умолчанию, поначалу я не придал этому значения, просто перезапускал сетевуху, но затем частота отключения шлюза увеличилась. Естественно стал проверять комп на наличие вредоносных программ, пробовал сканировать программами Касперского, Anti-MailWare, Cure-It.
Ничего серьезного они не обнаружили, а то что нашли было немедленно удалено. Ситуацию это не исправило.
После долгих и безуспешных попыток найти причину, вдруг все внезапно прекратилось, сетка начала работать нормально, без вылетов шлюза. Зато стал сам собой запускаться браузер Internet Explorer (от имени системы) с порносайтом "pornhub.com" на весь экран.
Опять начались бесплодные поиски вирусов и подозрительных файлов в системе с повторным сканированием всеми антивирусами.
Результат - ноль.
Одной из последних моих манипуляций была смена пароля учетной записи и "о чудо!", вместо появления порносайта опять начал отваливаться шлюз.
Просьба помочь решить проблему.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 19.05.2016 16:22:51

Для начала
http://forum.esetnod32.ru/forum8/topic12538/

Сообщений: 3

Баллов: 1

Регистрация: 19.05.2016

Размещено 25.05.2016 09:33:31

Вот файл, все что нашел удалил, но все равно, окно с порно появляется!

Прикрепленные файлы

eset.txt (29.5 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.05.2016 10:24:26

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 19.05.2016

Размещено 25.05.2016 15:21:21

Добавляю файл, сканировал.

Прикрепленные файлы

MSC-CO-WS404_2016-05-25_14-41-23.7z (921.2 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.05.2016 15:43:47

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\PUDIKOVAY\DOWNLOADS\11111.EXE addsgn A7679B1991AE1F245CE76E3821389B40F962327C7605F7AD193C3A5434498EB3CB1063A8C1BD3BF6D47F6C8EAFE9B6120535178D661AE544E4DBE42FA3F91217 19 Win32/OpenCandy zoo %SystemDrive%\USERS\PUDIKOVAY\DOWNLOADS\CHEATENGINE65.EXE zoo %SystemDrive%\USERS\PUDIKOVAY\DOWNLOADS\REIMAGEREPAIR.EXE addsgn 7300A398556A1F275D83C49157254C8C49AEE431CDDE0F102783C5353CF265B3362753173E3D9CC92B807B8AF28609FA2820FDB2C79AB04625D43CC48006CA45 24 Program.Unwanted.493 [DrWeb] ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\LUIDGY\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\ACRONIS AGENT USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\NETADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\KRASNOVAP\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\HMELEVOYSP\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\PRINTER.ADM\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\AVAST_UPDATE\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\AVAST\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\ZAHAROVSY\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\INTERNS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\BOLINAYTSID.ADM\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\USR1CV82DOMAIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBC... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJ... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHB... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNM... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEB... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANE... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJ... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEG... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHG... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCL... delref HTTP://VK.IJMELTO.RU/INDEX.XML?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKNEGGODALBCMGDKKFHBHBICBBAH... regt 27 regt 28 regt 29 ; OpenAL exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\PUDIKOVAY\DOWNLOADS\11111.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F962327C7605F7AD193C3A5434498EB3CB1063A8C1BD3BF6D47F6C8EAFE9B6120535178D661AE544E4DBE42FA3F91217 19 Win32/OpenCandy

zoo %SystemDrive%\USERS\PUDIKOVAY\DOWNLOADS\CHEATENGINE65.EXE
zoo %SystemDrive%\USERS\PUDIKOVAY\DOWNLOADS\REIMAGEREPAIR.EXE
addsgn 7300A398556A1F275D83C49157254C8C49AEE431CDDE0F102783C5353CF265B3362753173E3D9CC92B807B8AF28609FA2820FDB2C79AB04625D43CC48006CA45 24 Program.Unwanted.493 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\LUIDGY\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\ACRONIS AGENT USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\NETADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\KRASNOVAP\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\HMELEVOYSP\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\PRINTER.ADM\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\AVAST_UPDATE\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\AVAST\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\ZAHAROVSY\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\INTERNS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\BOLINAYTSID.ADM\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\USR1CV82DOMAIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBC...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJ...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHB...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNM...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEB...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANE...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJ...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEG...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHG...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCL...

delref HTTP://VK.IJMELTO.RU/INDEX.XML?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKNEGGODALBCMGDKKFHBHBICBBAH...

regt 27
regt 28
regt 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]